VLAN er et samlebegrep for flere standarder (noen proprietære) som gjør det mulig å sette opp flere segmenterte, eller adskilte, logiske nettverk på ett og samme fysiske utstyr. Dermed kan man gi forskjellige brukergrupper hver sine logiske nettverk som ikke påvirker hverandre.
Den viktigste standarden i dag er IEEE 802.1Q, og denne er støttet av de fleste utstyrsleverandørene.
Datapakker merkes med VLAN-nummer (VLAN tag) i Ethernet-rammen (Ethernet frame) som er del av lag 2, datalinklaget, i TCP/IP-modellen.
VLAN-nummeret identifiserer hvilket virtuelt lokalnettverk datapakken tilhører. Nettverksutstyr som administrerbare (managed) svitsjer og rutere konfigureres med regler for hvilke VLAN som skal være tilgjengelig på hvilke fysiske nettverksporter, og det sikrer at datapakkene ikke kan sendes feil.
Hvorfor VLAN er nødvendig
De fleste organisasjoner og bedrifter må dekke behov for flere forskjellige brukergrupper samtidig. Hver brukergruppe har spesielle behov for tilganger til internett, data og tjenester. Noen brukergrupper trenger sensitiv informasjon, og det er viktig at denne informasjonen er utilgjengelig for andre i nettverket. Enkelttjenester kan som oftest beskyttes med passord og kryptering, men det er enda bedre hvis tjenestene ikke engang er synlige for dem som ikke trenger dem.
Å samle alle brukerne i et enkelt logisk nettverk gir økt fare for brukerfeil og større risiko for angrep både fra interne og eksterne trusselaktører.
Eksempel på brukergrupper på en skole
De fleste brukerne av nettverk på en skole er elevene. Elevene trenger tilgang til internett og noen ganger til spesifikke lokale tjenester. Det er ønskelig å beskytte elevenes utstyr både fra utenforstående og andre elever på nettverket.
Skoler har administrasjon, ledelse,
oppfølgingstjeneste og lærere som i større eller mindre grad trenger tilgang til sensitive personopplysninger for å kunne gjøre arbeidet sitt. Det er viktig at slik informasjonen ikke blir tilgjengelig for uvedkommende.
Nettverksinfrastruktur, lys og klimastyring, adgangskontroll og kameraovervåkning er også tilkoblet nettverk og skal kun være tilgjengelig for enkeltpersoner ved skolen.
Oppsett uten VLAN
Hvis nettverk skal settes opp uten VLAN, må hver brukergruppe ha sitt eget fysiske oppsett som holdes adskilt. Tenk deg en liten bedrift. Bedriften trenger et nettverk for eget utstyr og et nettverk som gjester (og ansattes private utstyr) kan koble seg til for å få internett-tilgang, men ingen andre tilganger.
Det går fint an å sette opp en ruter som er koblet til internett på den ene siden, og som er tilkoblet to separate lokale nettverk som på bildet under. Begge nettverkene er koblet til den samme ruteren – via forskjellige fysiske porter, men ruteren holder nettverkene adskilte slik at direkte kommunikasjon mellom nettverkene ikke er mulig.
Et slikt oppsett gjør det mulig å sikre ansattnettverket mot eventuelle trusselaktører som får tilgang til gjestenettverk, der passordet som oftest er fritt tilgjengelig for alle som spør. Hvis internettkapasiteten er begrenset, kan også gjestenettverket ha begrensinger fordi det ikke skal bruke opp kapasiteten som de ansatte trenger for å arbeide effektivt. Ulempen med oppsettet er behovet for mer maskinvare og kabling. I store oppsett med mange brukergrupper vil dette være upraktisk.
Oppsett med VLAN
Oppsett med VLAN krever at nettverksutstyret, det vil si ruter, svitsjer og aksesspunkter, støtter VLAN. Et oppsett med to VLAN, ett for ansatte og ett for gjester, kan settes opp med kun ett sett av utstyr.
Ruteren responderer på to forskjellige VLAN-nummer og to forskjellige IP-segmenter. Fra ruteren går en fysisk kabel som inneholder begge VLAN (trunk) og går til svitsjen.
To aksesspunkter er også koblet til svitsjen, og de får begge levert VLAN. Moderne aksesspunkter kan levere flere trådløse nettverk samtidig (flere samtidige SSID-er). Det trengs derfor bare ett aksesspunkt per område, og hvert av disse leverer ut både trådløst nettverk for ansatte og gjestenettverk.
Hver fysiske port på svitsjen kan konfigureres med et bestemt, flere bestemte eller alle tilgjengelige VLAN. Dette er for eksempel nyttig hvis stasjonære datamaskiner eller servere skal kobles til. Svitsjporten kan da konfigureres slik at bare ønsket VLAN er tilgjengelig for datamaskinen eller serveren.
VLAN uten VLAN-nummer (Native VLAN)
Hver fysiske nettverksport på svitsj kan konfigurere separat med de VLAN-ene som skal være tilgjengelige. Det er også mulig å bestemme at VLAN-nummer skal fjernes fra datapakker fra et bestemt VLAN. Dette kalles Native VLAN, og det gjør det mulig for utstyr som ikke støtter VLAN, eller ikke er konfigurert for å fungere mot et bestemt VLAN, å få tilgang. Datapakker som kommer fra enhetene og ikke har VLAN-nummer, vil få tilført riktig VLAN-nummer når det kommer til svitsjen.
Sikkerhet med VLAN
Segmentering av et fysisk nettverk i flere logiske nettverk hindrer brukerfeil og gjør det vanskeligere for trusselaktører, både interne og eksterne. VLAN er dermed sentralt for å sikre god IT-sikkerhet, men VLAN har også sine begrensninger.
Fordi alle de logiske nettverkene kjører på et fysisk oppsett, kan konfigurasjonsfeil åpne for at brukere eller trusselaktører får tilgang til feil ressurser i nettverket. Det er derfor viktig å teste konfigurasjon og jevnlig sjekke at fysisk oppkobling stemmer overens med konfigurasjonen.
VLAN er i utgangspunktet bare en nummermerking av datapakkene. Hvis noen får tilgang til det fysiske nettverket, for eksempel ved på koble seg til en trunk-kabel eller svitsjport som er konfigurert for å levere mange VLAN eller alle VLAN-ene, kan VLAN-ene både overvåkes og manipuleres. Det er derfor anbefalt å kun konfigurere bruk av nødvendige VLAN på svitsjportene og at trunk-kabler mellom svitsjene ligger skjermet, altså utilgjengelig.